LINUX.ORG.RU
решено ФорумAdmin

pptpd debian 8.2 засыпает

 


0

1

Здравствуйте. Настроил pptpd на debian 8.2. Когда было подключено к vpn 20 точек, всё было впорядке. Дальше подключений завалило за 30 и почему-то vpn перестаёт принимать подключения через какой-то промежуток времени. Имеющие подключения держит, но как только точка пытаестя переподключиться, у неё ничего не выходит. Точки в основном настроены на zyxel keenetic start, но есть и микротики - они ведут себя также. После перезагрузки шлюза, pptp клиенты обратно подключаются как надо. Подскажите пожалуйста как быть
Конфиги pptpd 

root@router:/var/log# cat /etc/pptpd.conf
option /etc/ppp/pptpd-options
logwtmp
bcrelay eth2
localip 192.168.111.1
remoteip 192.168.111.19-254


root@router:/var/log# cat /etc/ppp/pptpd-options | grep -v "#"
name pptpd

refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.15.2
proxyarp
nodefaultroute
debug
lock
nobsdcomp


Настройки iptables 

root@router:/var/log# cat /etc/firewall.conf
# Generated by iptables-save v1.4.14 on Sat Jul  2 13:57:28 2016
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1018256159:312858452225]
:FW-FORWARD - [0:0]
:FW-INPUT - [0:0]
-A INPUT -j FW-INPUT
-A INPUT -j FW-FORWARD
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8/0 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
#Разрешаю ssh
#-A FW-INPUT -p tcp -m tcp --dport 22 -j ACCEPT
#Разрешаю входящие pptp порты
-A FW-INPUT -p gre -j ACCEPT
-A FW-INPUT -p tcp -m tcp -m multiport --dports 22,1723 -j ACCEPT
-A FW-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A FW-INPUT -s 192.168.15.0/24 -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A FW-INPUT -s 192.168.15.0/24 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A FW-INPUT -s 192.168.111.1/32 -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A FW-INPUT -s 192.168.111.1/32 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A FW-INPUT -s 192.168.15.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FW-INPUT -s 192.168.15.0/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A FW-INPUT -s 192.168.15.0/24 -p tcp -m tcp --dport 123 -j ACCEPT
-A FW-INPUT -s 192.168.15.0/24 -p udp -m udp --dport 123 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j FW-FORWARD
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
#DC
-A FW-FORWARD -m mac --mac-source 00:15:5D:18:89:35 -j ACCEPT
#RDPSERV2008
-A FW-FORWARD -m mac --mac-source 00:19:99:82:cf:35 -j ACCEPT
#NP0100
-A FW-FORWARD -m mac --mac-source 00:15:5D:18:89:34 -j ACCEPT
-A FW-FORWARD -p tcp -m tcp -m multiport --dports 139,445 -j ACCEPT
-A FW-FORWARD -p udp -m udp -m multiport --dports 137,138 -j ACCEPT
#Разрешаю пинги для всех пользователей pptp
-A FW-FORWARD -i ppp+ -p icmp -j ACCEPT
-A FW-FORWARD -i ppp+ -d 192.168.15.3 -j ACCEPT
#Разрешаю исходящие до всех pptp
-A FW-FORWARD -o ppp+ -j ACCEPT
#разрешаю всё для этого vpn пользователя
-A FW-FORWARD -i ppp+ -s 192.168.111.20 -j ACCEPT
-A FW-FORWARD -s 192.168.111.20 -o eth1 -j ACCEPT
-A FW-FORWARD -s 192.168.111.20 -o eth2 -j ACCEPT

COMMIT
# Completed on Sat Jul  2 13:57:28 2016
# Generated by iptables-save v1.4.14 on Sat Jul  2 13:57:28 2016
*nat
:PREROUTING ACCEPT [1002205:75122871]
:INPUT ACCEPT [598240:40132861]
:OUTPUT ACCEPT [306676:19050099]
:POSTROUTING ACCEPT [100452:6281433]
#Разрешаю выходить через VPN в интернет только этим IP
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.111.20 -o eth1 -j MASQUERADE
-A POSTROUTING -o ppp+ -j MASQUERADE

#Разрешаю доступ к HyperV только тем, кто приходит с этого ip
-A POSTROUTING -s 192.168.111.20 -o eth2 -j MASQUERADE
COMMIT
# Completed on Sat Jul  2 13:57:28 2016


root@router:/var/log# free -m
             total       used       free     shared    buffers     cached
Mem:           993        268        725         20         17        111
-/+ buffers/cache:        140        853
Swap:          871          0        871

Лог pptp в момент когда прекращается соединение 

root@router:/var/log# grep "Aug  5 09:2" debug
Aug  5 09:20:09 router pptpd[30352]: CTRL: Reaping child PPP[30353]
Aug  5 09:20:11 router pppd[30361]: using channel 491
Aug  5 09:20:16 router pptpd[30356]: CTRL: Reaping child PPP[30357]
Aug  5 09:20:19 router pptpd[30350]: CTRL: Reaping child PPP[30351]
Aug  5 09:20:21 router pptpd[30358]: CTRL: Reaping child PPP[30359]
Aug  5 09:20:22 router pppd[30365]: using channel 492
Aug  5 09:20:22 router pppd[30366]: using channel 493
Aug  5 09:20:24 router pppd[30368]: using channel 494
Aug  5 09:20:41 router pptpd[30360]: CTRL: Reaping child PPP[30361]
Aug  5 09:20:42 router pppd[30373]: using channel 495
Aug  5 09:20:52 router pptpd[30364]: CTRL: Reaping child PPP[30365]
Aug  5 09:20:53 router pptpd[30363]: CTRL: Reaping child PPP[30366]
Aug  5 09:20:55 router pptpd[30367]: CTRL: Reaping child PPP[30368]
Aug  5 09:20:57 router pppd[30376]: using channel 496
Aug  5 09:20:57 router pppd[30377]: using channel 497
Aug  5 09:20:58 router pppd[30379]: using channel 498
Aug  5 09:21:17 router pptpd[30372]: CTRL: Reaping child PPP[30373]
Aug  5 09:21:17 router pppd[30381]: using channel 499
Aug  5 09:21:28 router pptpd[30374]: CTRL: Reaping child PPP[30377]
Aug  5 09:21:28 router pptpd[30375]: CTRL: Reaping child PPP[30376]
Aug  5 09:21:29 router pptpd[30378]: CTRL: Reaping child PPP[30379]
Aug  5 09:21:33 router pppd[30387]: using channel 500
Aug  5 09:21:33 router pppd[30388]: using channel 501
Aug  5 09:21:33 router pppd[30389]: using channel 502
Aug  5 09:21:47 router pptpd[30380]: CTRL: Reaping child PPP[30381]
Aug  5 09:21:48 router pppd[30394]: using channel 503
Aug  5 09:22:03 router pptpd[30386]: CTRL: Reaping child PPP[30389]
Aug  5 09:22:03 router pptpd[30385]: CTRL: Reaping child PPP[30387]
Aug  5 09:22:04 router pptpd[30384]: CTRL: Reaping child PPP[30388]
Aug  5 09:22:08 router pppd[30398]: using channel 504
Aug  5 09:22:08 router pppd[30399]: using channel 505
Aug  5 09:22:08 router pppd[30400]: using channel 506
Aug  5 09:22:16 router pptpd[30255]: CTRL: Reaping child PPP[30256]
Aug  5 09:22:23 router pptpd[30392]: CTRL: Reaping child PPP[30394]
Aug  5 09:22:23 router pppd[30404]: using channel 507
Aug  5 09:22:23 router pppd[30406]: using channel 508
Aug  5 09:22:30 router pptpd[30405]: CTRL: Reaping child PPP[30406]
Aug  5 09:22:36 router pppd[30408]: using channel 509
Aug  5 09:22:39 router pptpd[30395]: CTRL: Reaping child PPP[30400]
Aug  5 09:22:39 router pptpd[30397]: CTRL: Reaping child PPP[30398]
Aug  5 09:22:39 router pptpd[30396]: CTRL: Reaping child PPP[30399]
Aug  5 09:22:49 router pptpd[30403]: CTRL: Reaping child PPP[30404]
Aug  5 09:24:22 router pptpd[30407]: CTRL: Reaping child PPP[30408]



Последнее исправление: MuTbKa (всего исправлений: 6)

Забыл отметить что шлюз стоит на HyperV. В HyperV организован мост, один ip идёт сразу на хост (на случай дебага), другой в виртуалку с шлюзом

MuTbKa
() автор топика

Смотри чем отличается дамп трафика когда всё хорошо от дампа когда всё плохо

Причём если есть возможность - смотри как изнутри виртуалки, так и снаружи(на хостовой машине) - дабы исключить проблему драйверов виртуальной сетевой

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
15 октября 2016 г.
Ответ на: комментарий от Pinkbyte

Всё оказалось совсем банально, сервер находился в датацентре. В какой-то момент всё наладилось, но через 15 дней чёткого аптайма, опять началась беда, только ещё хуже предыдущей. В логах писало что-то типа (MGR: dropped slow initial connection). Написал в биллинг, что не хорошая ерунда какая-то с сетью творится. Они ответили что у них ничего не режется и всё должно быть хорошо. Однако через пол часа после обращения всё наладилось, что за ошибка была мне не сказали, ткнув ещё раз носом в мои логи, они ничего не делали, всё само. С тех пор уже 30 дней аптайма, всё летает. Спасибо

MuTbKa
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin